Microsoft offre plus d’informations sur la façon dont les pirates chinois ont eu accès aux comptes de messagerie du gouvernement

La semaine dernière, Microsoft a signalé qu’un groupe de pirates chinois avait eu accès aux comptes de messagerie du gouvernement aux États-Unis et en Europe . Plus précisément, le groupe de pirates a entré des comptes de messagerie qui utilisaient Outlook Web Access de Microsoft dans Exchange Online et également sur Outlook.com.

Dans un article de blog de suivi , Microsoft a fourni plus de détails sur la façon dont ce groupe, connu sous le nom de Storm-0558, a réussi à accéder à ces comptes en utilisant le système en ligne de l’entreprise. Microsoft a déclaré :

Storm-0558 a acquis une clé de signature de consommateur MSA inactive et l’a utilisée pour forger des jetons d’authentification pour l’entreprise Azure AD et le consommateur MSA afin d’accéder à OWA et à Outlook.com. Toutes les clés MSA actives avant l’incident, y compris la clé de signature MSA acquise par l’acteur, ont été invalidées. Les clés Azure AD n’ont pas été impactées. La méthode par laquelle l’acteur a acquis la clé fait l’objet d’une enquête en cours. Bien que la clé ait été destinée uniquement aux comptes MSA, un problème de validation a permis à cette clé d’être approuvée pour la signature des jetons Azure AD. Ce problème a été corrigé.

Le blog explique également comment le groupe de pirates a utilisé cette clé de signature pour accéder à la version Web d’Outlook :

Une fois authentifié via un flux client légitime utilisant le jeton falsifié, l’auteur de la menace a accédé à l’API OWA pour récupérer un jeton pour Exchange Online à partir de l’API GetAccessTokenForResource utilisée par OWA. L’acteur a pu obtenir de nouveaux jetons d’accès en présentant un précédemment issu de cette API en raison d’un défaut de conception. Cette faille dans GetAccessTokenForResourceAPI a depuis été corrigée pour n’accepter que les jetons émis respectivement par Azure AD ou MSA. L’acteur a utilisé ces jetons pour récupérer les messages électroniques de l’API OWA.

Dans le cadre de ses efforts pour résoudre ce problème, Microsoft a apporté quelques modifications à ses procédures :

Cela comprend une isolation accrue des systèmes, une surveillance affinée de l’activité du système et le passage au magasin de clés renforcé utilisé pour nos systèmes d’entreprise. Nous avons révoqué toutes les clés précédemment actives et émis de nouvelles clés à l’aide de ces systèmes mis à jour. Notre enquête active indique que ces améliorations de renforcement et d’isolation perturbent les mécanismes que nous pensons que l’acteur aurait pu utiliser pour acquérir des clés de signature MSA.

Microsoft affirme qu’aucune action n’est nécessaire de la part de ses clients Web Outlook car il affirme que « toute l’activité des acteurs liée à cet incident a été bloquée ». Il a ajouté qu’il « continuera à surveiller l’activité de Storm-0558 et à mettre en œuvre des protections pour nos clients ».